Baixe o app para aproveitar ainda mais
Prévia do material em texto
LGPD Lei Geral de Proteção de Dados Pessoais Webinar Sest Então Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) A LGPD se aplica às empresas estatais? A LGPD já está em vigor? Essa lei é uma “invenção” brasileira? A LGPD se aplica às empresas estatais? LGPD União, estados, Distrito Federal e municípios Administração direta dos Poderes Executivo, Legislativo, Judiciário, Ministério Público e Tribunal de Contas Autarquias, fundações públicas e demais entidades controladas direta ou indiretamente Empresas públicas e sociedades de economia mista Entidades privadas e pessoas físicas Quando atuarem em regime de concorrência (CF/88 Art. 173): • Mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Quando estiverem operacionalizando políticas públicas: • Mesmo tratamento dispensado aos órgãos e às entidades do setor público. Relevante para aplicação de sanções e determinações por parte da ANPD - Autoridade Nacional de Proteção de Dados; e para aplicação das regras destinadas ao Poder Público. A LGPD se aplica às empresas estatais? A LGPD já está em vigor? Publicação Artigos sobre ANPD entraram em vigor Toda a lei entrou em vigor, exceto artigos sobre sanções Toda a lei entraria em vigor 14/08/2018 28/12/2018 17/09/2020 * Mai/2021 Artigos sobre sanções entrarão em vigor 01/08/2021 ANPD: Autoridade Nacional de Proteção de Dados *https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-de-protecao-de-dados-entra-em-vigor Ago/2020Fev/2020 A LGPD é uma “invenção” brasileira? A LGPD foi fortemente influenciada pelo Regulamento 2016/679 da União Europeia: GDPR – General Data Protection Regulation ou em português, RGPD – Regulamento Geral de Proteção de Dados. Lei 12.965/2014 – Marco Civil da Internet Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: III - proteção dos dados pessoais, na forma da lei; Marcos normativos sobre de dados – no Brasil Le i C om ple m en ta r 1 01 /2 00 0: Le i d e R es po ns ab ilid ad e F isc al (LR F) Po rta l d a T ra ns pa rê nc ia do Po de r E xe cu tiv o F ed er al Le i C om ple m en ta r 1 31 /2 00 9: Le i d a T ra ns pa rê nc ia Le i 1 2.5 27 /2 01 1: Le i d e A ce sso à Inf or m aç ão (L AI ) De cre to s 7 .72 4 e 7. 84 5/ 20 12 : Re gu lam en ta m a LA I Le i 1 2.9 65 /2 01 4: M ar co Ci vil da In te rn et De cre to 8. 77 7/ 20 16 : Po líti ca de D ad os A be rto s Le i 1 3.7 09 /2 01 8: Le i G er al de Pr ot eç ão de D ad os Pe ss oa is (LG PD ) 2000 2005 2009 2011 2012 2014 2016 2018 Então Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) Por que devemos proteger dados pessoais? A LGPD protege qualquer dado pessoal? Por que devemos proteger dados pessoais? Respeito à privacidade da pessoa Inviolabilidade da intimidade, da honra e da imagem da pessoa Defesa do Consumidor Direitos humanos, da personalidade, da dignidade e do exercício da cidadania. A identidade e a privacidade do indivíduo são os seus maiores patrimônios. Digital Around the World Digital Around the World A LGPD protege qualquer dado pessoal? A LGPD dispõe sobre o tratamento de dados pessoais, nos meios físicos ou digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. A LGPD protege qualquer dado pessoal? Protege qualquer dado pessoal, desde que: O tratamento dos dados seja realizado no Brasil. Os dados tratados tenham sido coletados no Brasil. Para oferta de bens ou serviços a pessoas localizadas no Brasil. Fins particulares e não econômicos. Fins jornalísticos, artísticos ou acadêmicos. Defesa nacional, segurança pública, investigação. Não protege dados pessoais coletados para: Então Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) O que significa tratamento de dados? O que é considerado dado pessoal? Poderia dar algum exemplo? O que significa tratamento de dados? O que é considerado dado pessoal? Definições Titular do dado: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. à Pessoa física. Dado pessoal: informação relacionada a uma pessoa natural identificada ou identificável. à Qualquer dado isolado ou combinado que possa identificar uma pessoa. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. CGAVM • Físico- Financeiro CGGOV • Perfil das Estatais • Novo Perfil das Estatais CGINF • Habilita CGORC • Novo PDG CGPPE • PPE Dados pessoais dos integrantes das entidades de gestão Dados pessoais do contador e do validador Dados pessoais do responsável pela área de orçamento Dados pessoais dos empregados das empresas estatais Dados dos usuários do SIEST Poderia dar algum exemplo? Então Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) Quais são os direitos do titular dos dados? Quando é permitido tratar dados pessoais? Quando é permitido tratar dados pessoais? Mediante o consentimento do titular. Para o cumprimento de obrigação legal ou regulatória. Para a execução de políticas públicas previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres. Para atender aos interesses legítimos do controlador, exceto quando prevalecerem direitos e liberdades fundamentais do titular. Para a realização de estudos por órgão de pesquisa, garantida a anonimização dos dados pessoais. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Para a proteção da vida ou da incolumidade física do titular ou de terceiro. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Quando necessário para a execução de contrato do qual seja parte o titular, a pedido do titular dos dados. Para a proteção do crédito, conforme legislação pertinente. Quando é permitido tratar dados pessoais? Quais são os direitos do titular dos dados? Confirmação de tratamento Direitos do Titular dos Dados Acesso aos dados Correção dos dados Anonimização, bloqueio ou eliminação de dados desnecessários Portabilidade dos dados Eliminação dos dados Revogação do consentimento Informação de compartilhamento dos dados Informação de possibilidade de não consentimento e das consequências Então Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) O que temos que fazer? Quais são as sanções administrativas? O que temos que fazer? São necessárias várias providências e algumas são imediatas. O caminho é longo e exige planejamento. Mas existem orientações disponíveis. O que temos que fazer? Criar um programa institucional: Programa de Governança em Privacidade (PGP): A LGPD possui requisitos complexos e restritivos a serem cumpridos e tem impacto em toda a organização. É necessário atuar de forma permanente em todos os processos para garantir uma efetiva governança de privacidade no manuseio de dados pessoais. Guia para criação de um Programa Institucional de Gerenciamento de Privacidade: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf O que temos que fazer? Nomear os Agentes de Tratamento: Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dado pessoais. Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Guia para criação de um Programa Institucional de Gerenciamento de Privacidade: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdfO que temos que fazer? Nomear o Encarregado: Encarregado: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Instrução Normativa SGD/ME Nº 117/2020 - Indicação do Encarregado pelo Tratamento dos Dados Pessoais: https://www.in.gov.br/web/dou/-/instrucao-normativa-sgd/me-n-117-de-19-de-novembro-de-2020-289515596 Guia para criação de um Programa Institucional de Gerenciamento de Privacidade: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaProgramaGovernanaemPrivacidade.pdf O que temos que fazer? Elaborar o Inventário de Dados Pessoais: Inventário de Dados Pessoais (IDP): Indica a existência de dados pessoais e documenta as operações de tratamento realizadas pela entidade. Guia de Elaboração de Inventário de Dados Pessoais: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaInventario.pdf O que temos que fazer? Guia de Elaboração do Relatório de Impacto à Proteção de Dados Pessoais: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-template-ripd_v3.docx Elaborar o Relatório de Impacto: Relatório de Impacto à Proteção de Dados Pessoais (RIPD): Descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. O que temos que fazer? Elaborar a Política de Privacidade: Política de Privacidade: Tem como objetivo descrever ao usuário o método, os processos e os procedimentos adotados no tratamento de dados pessoais e informá-lo sobre as medidas de privacidade empregadas. Guia de Elaboração de Política de Privacidade: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf O que temos que fazer? Elaborar os Termos de Uso: Termos de Uso: São vinculados à utilização dos serviços disponibilizados pela entidade por meio de aplicações (sítios, sistemas ou aplicativos para dispositivos móveis). Guia de Elaboração de Termos de Uso: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaTermoUso.pdf O que temos que fazer? Adequar os contratos: Requisitos de proteção de dados pessoais: É de extrema relevância a adoção de requisitos de segurança da informação e proteção de dados pessoais bem como a respectiva gestão contratual com abordagem específica desse aspecto, quando da contratação de produtos e/ou serviços de TIC. Guia de Boas Práticas para Especificação de Requisitos de Segurança da Informação em Contratações de TI: https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiadeAdequacoesdeContratos.pdf O que temos que fazer? Elaborar e implementar o Plano de Resposta a Incidentes: Plano de Resposta a Incidentes: Descreve as respostas aos incidentes de segurança e de privacidade de dados, com o intuito de conter ou minimizar prejuízos, e indica como ocorrem as devidas comunicações ao titular dos dados e à ANPD. Guia de Elaboração do Plano de Respostas a Incidentes (em breve): https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operacionais-para-adequacao-a-lgpd O que temos que fazer? E muito mais... Por isso sugerimos que consultem o que foi elaborado pela Secretaria de Governo Digital (SGD) do Ministério da Economia para nos apoiar nessa caminhada: Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD): https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de- boas-praticas-lei-geral-de-protecao-de-dados-lgpd Guias Operacionais para adequação à LGPD: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias- operacionais-para-adequacao-a-lgpd Advertência, com indicação de prazo para medidas corretivas. Multa simples ou multa diária. Publicização da infração após apurada e confirmada a ocorrência. Bloqueio ou eliminação dos dados pessoais. Suspensão do banco de dados ou da atividade de tratamento. Proibição parcial ou total da atividade de tratamento. Quais são as sanções administrativas? Então Dúvidas e sugestões Tenho mais alguma dúvida? O webinário foi útil para mim? Tenho alguma sugestão? sest.cginf@economia.gov.br LGPD Obrigado! Webinar Sest
Compartilhar